За последние 24 часа нас посетил 53561 программист и 1718 роботов. Сейчас ищет 931 программист ...

насколько безопасно?

Тема в разделе "PHP для новичков", создана пользователем Invision, 21 фев 2011.

  1. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    Вообщем у себя шифрую url в base64 (анонимная ссылка) и раскодирую:

    Код (Text):
    1. $url = $_GET['get_url'];
    2. $str = base64_decode("$url");
    3. echo $str;
    Безопасно?)
     
    #1 Invision, 21 фев 2011
  2. titch

    titch Активный пользователь

    С нами с:
    18 дек 2010
    Сообщения:
    847
    Симпатии:
    0
    черевато js инжектом, если вы не уверены в том, что на входе не всегда именно ссылка
     
    #2 titch, 21 фев 2011
  3. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    хм, на сайте все равно кукисы почти не юзаются, воровать нечего =) Вывод идет так:

    туда тоже можно js импортнуть?

    p.s как запретить < и > ? =)
     
    #3 Invision, 21 фев 2011
  4. admyx

    admyx Активный пользователь

    С нами с:
    14 мар 2008
    Сообщения:
    2.159
    Симпатии:
    1
    $str = base64_decode("$url");
    Это что вообще такое?
     
    #4 admyx, 21 фев 2011
  5. titch

    titch Активный пользователь

    С нами с:
    18 дек 2010
    Сообщения:
    847
    Симпатии:
    0
    В таком виде можно и инжект. Пруф:
    PHP:
    1. <a href="#" onclick="return goURLs('<?php
    2. $str="http://anon.com/112345');" mouseup="alert('Сиськи!'); return ('0";
    3. echo ''.$str.''; ?>')">Открыть анонимную ссылку через свой браузер</a>
    http://php.net/manual/en/function.htmlspecialchars.html спешит на помощь!
     
    #5 titch, 21 фев 2011
  6. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    декодирую содержимое $url и помещаю в переменную $str
     
    #6 Invision, 21 фев 2011
  7. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    titch, htmlspecialchars вообще помог очень =) спс))

    Вопрос. Что такое ENT_QUOTES ?
     
    #7 Invision, 21 фев 2011
  8. titch

    titch Активный пользователь

    С нами с:
    18 дек 2010
    Сообщения:
    847
    Симпатии:
    0
    двойная кавычка преобразуется в '&quot;', если ENT_NOQUOTES не установлен
     
    #8 titch, 21 фев 2011
  9. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    спс)
     
    #9 Invision, 21 фев 2011
  10. admyx

    admyx Активный пользователь

    С нами с:
    14 мар 2008
    Сообщения:
    2.159
    Симпатии:
    1
    Invision
    Тогда уж не $str = base64_decode("$url"); а $str = base64_decode($url); о_0
     
    #10 admyx, 21 фев 2011
  11. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    $str = base64_decode(''."$url".'');
     
    #11 igordata, 21 фев 2011
  12. admyx

    admyx Активный пользователь

    С нами с:
    14 мар 2008
    Сообщения:
    2.159
    Симпатии:
    1
    igordata
    А для Вас у нас есть отдельная палата =)
     
    #12 admyx, 21 фев 2011
(Вы должны войти или зарегистрироваться, чтобы разместить сообщение.)